Der EuGH hat am 4. September 2025 ein praxisrelevantes Urteil erlassen, das Klarheit hinsichtlich des Umgangs mit pseudonymisierten personenbezogenen Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO/ GDPR) schafft.

Pseudonymisierung ist in der DSGVO definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, ohne dass zusätzliche Informationen verwendet werden, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können“.

Hintergrund des Falls

Nach der Abwicklung einer spanischen Bank beschloss die zuständige Stelle (SRB) vorläufig darüber, ob es notwendig war, den ehemaligen Aktionären und Gläubigern dieser Bank eine Entschädigung zu gewähren. 

Hierfür wurde ein Verfahren organisiert, um diesen die Möglichkeit einer Stellungnahme zu der vorläufigen Entscheidung einzuräumen. Einige dieser Stellungnahmen wurden in Form pseudonymisierter Daten an ein Wirtschaftsprüfungsunternehmen übermittelt.

Eine Reihe betroffener Aktionäre und Gläubiger reichte beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerde ein und rügten, nicht über die Weitergabe ihrer Daten an den Wirtschaftsprüfer informiert worden zu sein. 

Der EDSB stellte fest, dass der Wirtschaftsprüfer im vorliegenden Fall Empfänger personenbezogener Daten der Beschwerdeführer war. Darüber hinaus stellte er fest, der SRB habe gegen die in der DSGVO festgelegte Informationspflicht verstoßen. 

Die SRB erhob daraufhin Klage auf Nichtigerklärung der Entscheidung des EDSB. Das Gericht gab der Klage teilweise statt und hob die fragliche Entscheidung auf (Rechtssache T-557/20, SRB gegen EDSB).

Der EDSB legte hiergegen Berufung vor dem EuGH ein.

Entscheidung und Begründung

Die Berufung betraf drei wesentliche Rechtsfragen:

•    Stellen Meinungen einer Person personenbezogene Daten dar?
•    Unter welchen Umständen können pseudonymisierte Daten als personenbezogene Daten gelten?
•    Bestehen Informationspflichten des Verantwortlichen bei Weiterleitung pseudonymisierter Daten?

Der EuGH kam zunächst zu dem Schluss, dass die Informationen aus den an den Wirtschaftsprüfer übermittelten Kommentaren notwendigerweise „eng mit den Personen verbunden“ sind, die diese Kommentare abgegeben haben, die persönliche Meinung oder den persönlichen Standpunkt ihrer Verfasser zum Ausdruck bringen und als solche als personenbezogene Daten gelten.

Darüber hinaus entschied das Gericht, dass pseudonymisierte Daten nicht in allen Fällen und für jede Person als personenbezogene Daten anzusehen sind. Daraus folgt, dass die Beurteilung von den Umständen des Einzelfalls abhängt, und geprüft werden muss, ob der Empfänger über „angemessene Mittel“ – technische, rechtliche oder andere Möglichkeiten – verfügt, um die betroffenen Personen zu identifizieren. Wenn dieses Risiko „nicht vorhanden oder unerheblich“ ist, fallen die pseudonymisierten Daten nicht unter die Definition der personenbezogenen Daten. 

Schließlich hat der EuGH festgestellt, dass die Identifizierbarkeit der betroffenen Person zum Zeitpunkt der Erhebung der Daten und aus Sicht des für die Verarbeitung Verantwortlichen (hier demnach SRB) zu beurteilen ist. Die Transparenzpflicht des Verantwortlichen, die betroffenen Personen zu informieren, gilt vor der Übermittlung der fraglichen Daten und unabhängig davon, ob es sich aus Sicht des Empfängers nach einer möglichen Pseudonymisierung um personenbezogene Daten handelt oder nicht. 

Mit anderen Worten: Für die offenlegenden Verantwortlichen bleiben pseudonymisierte Daten personenbezogene Daten, solange sie Zugriff auf die Mittel zur Rückbezugnahme haben. Sie müssen daher nach Art. 13 Abs. 1 lit. e DSGVO die betroffenen Personen über die Weitergabe ihrer pseudonymisierten Daten an Dritte informieren, selbst wenn diese Daten für den Empfänger anonym sind. 

Fazit

Das Urteil ist von wesentlicher Bedeutung für den Datenschutz. Es besagt bzw. bekräftigt u.a. Folgendes:

•    Datenverantwortliche müssen betroffene Personen vor der Weitergabe ihrer personenbezogenen Daten grundsätzlich über den/ die Empfänger informieren.
•    Daten einer Person verlieren durch eine Pseudonymisierung nicht automatisch ihren Personenbezug.
•    Maßgeblich hierfür ist die Identifizierbarkeit der Person aus Sicht des Datenverantwortlichen: wenn er aus den Daten die Person noch identifizieren kann, gilt seine Informations- bzw. Transparenzpflicht selbst dann, wenn der Empfänger die Person nicht erkennen kann.
•    Dies betrifft u.a. die Haftung der Empfänger gegenüber den Betroffenen.

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Bukarest/Büro Sibiu:
Tel.:       +40 – 21 – 301 03 53
Fax.:       +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro
www.stalfort.ro